drygdryg/zapret
1
0
Fork 0
mirror of https://github.com/bol-van/zapret.git synced 2024-11-26 20:20:53 +03:00
Code Issues Packages Projects Releases Wiki Activity

nftables.txt more info

Browse Source
This commit is contained in:
bol-van 2024-03-03 12:21:25 +03:00
parent 46bdcb87b8
commit 8b38cccee2
1 changed files with 3 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

3
docs/nftables_notes.txt
View File

@ -64,6 +64,8 @@ zapret может работать в другой таблице и не тро
Возможность выбора приоритета хука позволяет легко решить проблему хаотической и принудительной дефрагментацией L3 ipv6,
без танцев с загрузкой модулей ядра со специальными параметрами или перекомпиляцией nftables-nft.
Это же позволяет перехватить трафик после SNAT/MASQUERADE, что на iptables невозможно.
Атаки на проходящий трафик, ломающие NAT, крайне затруднены на iptables.
Плюс N3
@ -87,6 +89,7 @@ zapret может работать в другой таблице и не тро
Без больших листов все почти прекрасно. Но большие ip листы убивают все. Не для домашних это роутеров.
А ipset-ы к nftables не прикрутить.
Зато есть возможность задействовать более продвинутые атаки, конфликтующие с NAT, которые на iptables могут быть невозможны.
Делать нечего. Openwrt отошел от iptables. С этим придется как-то жить.
Поэтому пришлось сделать для openwrt поддержку и iptables, и nftables (только с версии openwrt 21.xx, в более старых будут проблемы).
iptables можно задействовать на любой openwrt версии.